Korzystając z Internetu często nie zdajemy sobie sprawy z niebezpieczeństw, na jakie narażamy nasz komputer. Internetowi piraci i włamywacze używają coraz bardziej wyrafinowanych narzędzi pozwalających im, w najlepszym razie, na przejrzenie zawartości naszego twardego dysku, czy też na wykasowanie danych a nawet uszkodzenie sprzętu. Nierzadko również włamania mają na celu wykorzystywanie naszego komputera do celów przestępczych, a to wszystko najczęściej zupełnie bez naszej zgody i wiedzy. Chcąc zapobiec takim sytuacjom należy odpowiednio się zabezpieczyć. Jednym z elementów takiego zabezpieczenia jest zapora ogniowa. Niniejszy artykuł ma za zadanie, w ogólnym zarysie, przedstawić początkującemu użytkownikowi sposób jej konfiguracji za pomocą programu Guarddog.

Na początek trochę teorii

Instalując dowolną dystrybucję Linuksa wraz z systemem otrzymujemy wbudowany firewall czyli tzw. ścianę ogniową. Jej podstawowym zadaniem jest chronić nasz komputer przed nieuprawnionym dostępem z sieci, poprzez monitorowanie i filtrowanie pakietów. W zależności od wersji jądra systemu (kernela), zawartego w naszej dystrybucji, otrzymujemy różne narzędzia służące temu celowi. Systemy oparte na jądrze w wersji 2.0 używały programu ipfw. Nowsze jądra w serii 2.2 stosowały ipchains. W tej chwili większość dystrybucji stosuje jądra z serii 2.4 lub 2.6, dla których domyślnym firewallem jest iptables. Oczywiście iptables posiada największe możliwości konfiguracji i jest zaliczane do jednego z najlepszych obecnie istniejących firewalli. Linuksowy firewall, wbudowany w jądro systemu, ma wiele zalet (m.in. szybkość działania i konfigurowalność) i jedną zasadniczą wadę: jego konfiguracja wymaga sporej wiedzy i doświadczenia. Nawet posiadając odpowiednią wiedzę, która jest nie do przecenienia, można bardzo ułatwić sobie konfigurację zapory ogniowej korzystając z graficznego interfejsu do ustawiania regułek firewalla.

W różnych dystrybucjach Linuksa istnieje szeroka gama programów do graficznej konfiguracji firewalla, posiadających większe lub mniejsze możliwości. Z reguły pozwalają one jednak na bardzo podstawową konfigurację. Chcąc odpowiednio skonfigurować swoją zaporę sieciową trzeba sięgnąć po bardziej złożone narzędzie. Zadanie takie znakomicie spełnia Guarddog. Nie dość, że wyręcza nas w mozolnym wpisywaniu reguł ipchains lub iptables (program równie dobrze radzi sobie z kernelami z serii 2.2 jak i 2.4 oraz 2.6), to dodatkowo tworzy abstrakcyjną warstwę zarządzania zaporą ogniową. Nie ma potrzeby znać wszystkich portów i protokołów (chociaż jest to wskazane), ponieważ w graficznym interfejsie Guarddog operujemy usługami i aplikacjami, wskazując jedynie programowi, które pakiety mają być blokowane, a które przepuszczane. Usługi są pogrupowane ze względu na zastosowania (serwery, rozrywka, przesyłanie plików, gry sieciowe itd.). W razie potrzeby można też stworzyć własną grupę protokołów i dowolnie je zdefiniować. Program pozwala na zapisywanie w logach wybranych zdarzeń związanych z ruchem pakietów w zabezpieczanych interfejsach sieciowych. Ponadto Guarddog oferuje przydatny, zwłaszcza w lokalnej sieci podłączonej do Internetu, mechanizm profili sieciowych (Network Zones). Są to grupy adresów internetowych, którym możemy przyznać określone uprawnienia. Funkcja ta umożliwia na zezwalanie lub blokowanie usług w zależności od korzystających z nich hostów.

Zaporę ogniową za pośrednictwem programu Guarddog konfigurujemy poprzez graficzny interfejs stworzony w oparciu o bibliotekę QT (KDE), chociaż można go użyć oczywiście również w innych środowiskach (jak Gnome czy XFCE). Niestety do chwili obecnej nie ukazała się polska lokalizacja programu, więc nie pozostaje nam nic innego jak korzystać z wersji angielskiej. Guarddog posiada też bardzo obszerny i przystępnie napisany (choć również anglojęzyczny) systemem pomocy.
Po uruchomieniu programu zobaczymy okno główne, z możliwością przełączania pomiędzy dwoma strefami (zone): internet i local.

Rys 1. Główne okno Guarddoga

Pierwsza strefa określa ustawienia firewalla dla połączeń z Internetem, druga przeznaczona jest dla połączeń lokalnych. Dodatkową zaletą programu jest możliwość określenia konfiguracji firewalla, a następnie wyeksportowanie jej do pliku, który można wykorzystać na innym komputerze, bądź serwerze nie posiadającym środowiska graficznego (czyli popularnych X-ów).

Coś bardziej praktycznego

W dalszej części przedstawimy krótki opis konfiguracji zapory ogniowej dla połączeń z Internetem za pomocą programu Guarddog wraz z przykładem dopuszczanych usług internetowych. Początkujący użytkownik może się nim posłużyć w celu zabezpieczenia swojego komputera. Należy jednak pamiętać, że jest to konfiguracja przykładowa i każdą dopuszczoną usługę trzeba dobrze rozważyć.

Konfigurację firewalla zaczynamy od zakładki Protocol. Po prawej stronie znajduje się rozwijane menu, w którym zostały pogrupowane usługi. Mamy trzy możliwe zachowania firewalla wobec wybranego protokołu:

• protocol is permitted (dopuszczony – kwadrat z “ptaszkiem”)
• protocol is blocked (blokowany – pusty kwadrat)
• protocol is reejected (odrzucany – kwadrat z krzyżykiem)

Konfiguracja polega na zaznaczeniu tych, które chcemy dopuścić oraz ewentualnym blokowaniu lub odrzucaniu tych, które uznamy za zbędne czy niebezpieczne. Każdy protokół posiada opis przeznaczenia oraz ryzyko jakie ponosimy dopuszczając go, a po zaznaczeniu opcji “Show advanced protocol help” (w zakładce Advanced) możemy również sprawdzić port, z którego korzysta.

Rys 2. Guarddog - dopuszczane protokoły

W poszczególnych zakładkach menu znajdują się pogrupowane usługi, które konfigurujemy stawiając odpowiedni znaczek:

• Chat: Chcąc korzystać z komunikatorów internetowych dopuszczamy AOL, ICQ (również gg), IRC, Jabbera, MSN lub Yahoo,
• Data Serve: Jeżeli nasz komputer nie jest serwerem to wszystko zostawiamy odznaczone (blocked),
• File Transfer: Dopuszczamy: FTP, HTTP, HTTPS i rsync oraz ewentualnie Torrenta, eDonkey, Gnutella (jeżeli chcemy korzystać z wymiany plików w sieci p2p),
• Game: Wybór gier sieciowych nie jest zbyt duży (zaznaczamy tę, która nas interesuje),
• Interactive Session: W tej zakładce nic nie dopuszczamy (chyba, że wiemy co robimy i co chcemy mieć, np. SSH),
• Mail: W zależności od protokołu używanej przez nas poczty dopuszczamy IMAP, IMAPS, POP3, POP3S i SMTP,
• Media: Nic nie dopuszczamy,
• Miscellaneous: Tutaj również nic nie dopuszczamy,
• Network: Tu należy zezwolić na dopuszczenie DNS, ident/auth i PING.

Po zaznaczeniu interesujących nas usług zatwierdzamy ustawienia naszego firewalla. W celu zastosowania nowych ustawień program przerwie nasze połączenie sieciowe i automatycznie uruchomi je ponownie już z nowymi ustawieniami. W niektórych przypadkach konieczne może być ponowne uruchomienie komputera. Jeśli okaże się, że jakaś usługa internetowa nie działa to prawdopodobnie zapomnieliśmy zezwolić jej na dostęp do naszego komputera. Jeśli jednak nie ma jej na żadnej liście w menu można ją zdefiniować samodzielnie w zakładce Advanced. Aby zrobić to poprawnie należy znać porty, z których korzysta. Nie polecam tej opcji początkującym użytkownikom, ponieważ z jej pomocą można stworzyć szeroko otwarte “wrota” do naszego komputera.

Podsumowanie

Dzięki pracy w środowisku graficznym i dobrze udokumentowanym opcjom program Guarddog można polecić zwłaszcza mniej zaawansowanym użytkownikom. Jednak i bardziej zaawansowani użytkownicy chętnie z niego skorzystają, nie chcąc tracić czasu na ręczne wypisywanie dopuszczanych protokołów w konsoli. Zapora ogniowa skonfigurowana za pomocą aplikacji Guarddog powinna być wystarczająca dla naszego komputera domowego (a nawet małego serwera) zwłaszcza w połączeniu z dobrym programem antywirusowym pod warunkiem, że jesteśmy jego świadomymi użytkownikami.